‘AhnLab’ 폴더를 암호화에서 제외하는 Maze 랜섬웨어
안랩 ASEC은 지난 5월 24일 국내 사용자들을 대상으로 유포 중인 Maze Ransomware를 발견하였다. 자사의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)를 통해 확인된 결과 해당 랜섬웨어는 PowerShell을 이용하여 다운로드되고 Fallout EK 에 의해 유포되는 것으로 확인되었다. 암호화가 되면 확장자는 여러가지의 랜덤한 문자열로 변경되고 DECRYPT-FILES.html 파일을 생성한다. [
V3Lite 사용여부에 따라 차별화된 실행방식 사용하는 BlueCrab(갠드크랩 후속)
최근 새롭게 등장한 블루크랩 랜섬웨어는 기존 갠드크랩 랜섬웨어와 같이 다양한 방식으로 유포되고 있다. 유포 방법에는 악성 문서를 포함한 피싱 이메일, 유틸리티 피싱 다운로드 페이지 등이 해당된다. 안랩 ASEC은 유틸리티를 위장한 자바스크립트의 유포 코드를 모니터링하고 있다. [그림 1]과 같은 유틸리티 피싱 다운로드 페이지에서 다운로드된 자바스크립트 파일(.js)은 실행 시 블루크랩 랜섬웨어가 실행된다. [그림 1] 유틸리티를 위장한 자바스크립트의 유포 피싱 페이지 현시점에 자바스크립트의 실행 흐름은 [그림 2]와 같으며, Powershell.exe에 블루크랩 랜섬웨어가 인젝션 되어 암호화 행위가 수행된다. [그림 2] 블루크랩 유포 자바스크립트의 실행 흐름 여기서 주목할 점은 V3Lite 사용자를 대상으로 차별화된 실행방식이 사용된다는 점이다. 자사 제품은 블루크랩 랜섬웨어가 사용하는 특정 UAC(사용자 계정 컨트롤) 우회 기법을 행위기반으로 사전 차단하고 있다. 악성코드 제작자는 이러한 차단을 피하기 위해 자사 제품 사용자에게는 UAC 우회기법을 사용하지 않고, UAC 알림창을 100회 반복하여 사용자로 하여금 ‘예’를 클릭하여
국내 사용자 대상 신종 랜섬웨어 확인 (.kname 확장자)
안랩 ASEC은 지난 5월 13일 자사의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)를 통해 새로운 랜섬웨어가 국내로 유포되고 있음을 확인하였다. 아직 알려지지 않은 이 랜섬웨어는 암호화 후 확장자를 .kname으로 변경하는 특징을 갖고 있으며, AhnLab 폴더를 암호화 제외 대상으로 하는 등 국내 사용자 환경을 타겟하여 유포하는 것으로 추정된다. 또한, ASD를 통해 확인된 결과 랜섬웨어 파일은
스팸메일을 악용한 Crypter 계열 악성코드의 유포 및 동작 방식
문서 파일이나 압축 파일을 첨부하여 악성코드를 유포하는 악성 스팸메일 공격 방식은 과거부터 현재까지 꾸준하게 공격자들이 사용하는 악성코드 유포 방법의 하나다. 안랩 ASEC 분석팀은 다수의 고객으로부터 접수된 스팸메일을 분석한 결과 이메일에 첨부된 악성 문서 파일에서 다운로드된 파일들이 주로 Crypter 계열의 정보 유출형 악성코드(HawkEye, Nanocore, FormBook, Lokibot, Remcos)임을 확인하였다. Crypter 계열 악성코드는
자바스크립트(*.js)로 유포되던 GandCrab 랜섬웨어… 새로운 랜섬웨어로 변경
안랩 ASEC 분석팀은 GandCrab 변형을 확인하기 위해 피싱 다운로드 페이지를 지속적으로 모니터링 하고있다. 이 과정에서 2019년 4월 29일 해당 피싱 사이트에서 유포되는 자바스크립트(*.js) 가 갠드크랩에서 새로운 랜섬웨어로 변경됨을 포착하였다. 해당 신규 랜섬웨어는 기존에 소개된 GandCrab v5.2과 같이 동일한 피싱 사이트([그림 1])에서 유포되고 있으며, 해당 서버를 통해 다운로드 받은 파일(.js) 내부에는 신규 랜섬웨어를 가지고 있다. 다운로드 받은 파일을
변형된 Salsa20 알고리즘을 사용하는 GandCrab 랜섬웨어
안랩 ASEC 분석팀에서는 쉼 없이 지속 유포 중인 GandCrab의 유포 방식과 변화되는 기능들에 대해서 지속 분석 및 대응하여 정보를 공유하고있다. 이 글에서는 지난 v4.x의 GandCrab kill-switch에 사용되었던 커스텀 된 Salsa20 알고리즘이 현재 유포 중인 v5.2 버전에서도 동일하게 파일 암호화에 쓰이고 있음을 알리고자 한다. – 커스텀 Salsa20 알고리즘이 사용됨을
MBR 감염기능의 코인마이너 국내 유포 중 (DarkCloud Bootkit)
안랩 ASEC은 지난 2월 국내외 보안 제품을 무력화 시키고 감염 시스템의 MBR(Master Boot Record)를 변조하는 코인마이너의 유포를 확인하였다. 해외에서 “DarkCloud Bootkit” 으로 이슈된 이 유형의 악성코드는 기존의 암호화폐 채굴형 악성코드와 달리 MBR을 감염시키는 기능을 갖고 있으며 “ZwCreateSection” API에 대한 패치를 통해 일반 사용자가 감염된 MBR코드를 확인할 수 없도록 하는 특징을 갖는다.
‘GandCrab’ 랜섬웨어와 ‘Amadey’ 봇의 은밀한 관계
안랩은 GandCrab 랜섬웨어를 지속적으로 모니터링하여 분석한 정보를 공개하고 있고, 최근에는 국내 가상화폐 거래소를 대상으로 유포된 'Amadey' 봇에 대해서도 소개하였다. 지금까지 이 두 유형의 악성코드는 각기 다른 목적과 기능을 가진 별개의 악성코드로 보고 있었는데, 최근 발견된 GandCrab 샘플과 Amadey 샘플을 분석해 보면 이 악성코드는 분명한 연관 관계가 있는 것으로 보인다. ASEC블로그 GandCrab 랜섬에어 관련 글 [주의] 국내 코인업체 대상 'Amadey' 악성코드 공격 시도 다음은 지난 4월 15일 수집 된 Amadey 샘플이다. C:ProgramData 하위에 파일 생성, 추가 프로세스 실행, 레지스트리 자동실행 등록, C&C 서버 접속 등 Amadey 의 주요 기능은 크게 변하지 않았다. C&C 서버에 HTTP 통신으로 시스템ID를 비롯해 OS 버전, 백신설치 여부 등 사용자 정보 일부를 전송하는 것도 같았다. 그러나 여기서 주목할 점은 C&C 서버와 통신할 때 POST 응답으로 받아오는 데이터이다. 수신 데이터는 이전까지 알려지지 않았지만 안랩 ASEC 분석팀의 자동분석 시스템 라피트(RAPIT)를 이용하여 분석한 결과, 샘플이 추가로 접속할 URL 주소인 것이 확인되었다. URL 주소에는 정보 유출 Password Stealer 류 외에 GandCrab 랜섬웨어 유포지가 포함되어 있었으며 일정 시간이 지나면 전송하는 데이터(URL 주소)를 변경하였다. 이는 실시간으로 파일을 교체하기 위한 목적으로 보인다. 그리고 전송하는 시스템ID 등을 체크하여 특정 시스템에는 더는 URL을 포함한 응답 데이터를 보내지 않는 것도 이번에 확인되었다. Amadey가 URL 주소에 접속하여 데이터를 수신한 이후에는 이를 %Temp% 경로에 파일로 생성하고 실행한다. 즉, Amadey는 C&C 서버에 시스템 정보를 전송한 이후 추가 파일을 다운받는 다운로더 역할을 하였고 다운된 파일에는 정보 유출 형 악성코드와 GandCrab 랜섬웨어가 포함되어 있었다. Amadey 악성코드가 GandCrab 랜섬웨어를 다운받는 것 외에도 악성코드의 파일 외형이 매우 유사한 점도 특징적이다. 최근 확인되는 Amadey 와 GandCrab 은 UPX 로 팩 되어 있다. 두 유형 모두 언팩 이후에 PE 파일이 비정상적으로 많은 Export Function 정보 (10만 개 이상의 Function) 가 있으며, WinMain 코드의 독특한 시작 패턴과 이후 호출되는 디코딩 루틴이 같다. GandCrab 랜섬웨어와 Amadey 봇은 기능상 다른 악성코드이지만 다운로드 관계 및 파일의 코드 관점으로 보았을 때 긴밀히 연관된 악성코드로 보인다. 또한 기존의 ASEC블로그에서 수차례 언급된 내용을 보면 주로 국내 사용자를 대상으로 타겟으로 하고 있는 악성코드라는 점 또한 동일하다. 위에 언급한 Amadey는 현재 V3 에서 다음과 같이 진단하고 있다. – 파일 진단: Tojan/Win32.Amabot (2019.04.15.05) – 행위 진단: Malware/MDP.Behavior.M2179 외
GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (3)
안랩 ASEC은 Gandcrab v5.2이 동적 분석을 우회하기 위해 계속해서 패치하고 있음을 포착하였다. – GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (2) https://asec.ahnlab.com/1213 (2019.03.27) – GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 https://asec.ahnlab.com/1202 (2019.02.27) 기존에 소개된 윗글에선 SetTimer(), GetCaretPos()등 과 같이 특정 API를 사용하였다면 최근엔 API가 아닌더미 코드를 이용하여 동적 분석 시간을
확장자 별 암호화 방식의 차이를 보이는 GandCrab v5.2
자사 블로그에서 이전 부터 언급해왔던 것처럼 GandCrab은 다양한 방식으로 유포 중이다. 지금까지 GandCrab은 버전을 업데이트하며 변화를 주어왔는데, 현재까지 확인되는 최신 내부 버전은 v5.2이다. 자사에서는 이 v5.2버전의 암호화 대상 확장자를 확인하는 방법과 이에 따라 암호화 방식이 이전 버전과 다르다는 것을 발견하였다. (기존에 공유 된 암호화 방식 : https://asec.ahnlab.com/1153) GandCrab v5.2는 확장자
